AppSec инженер

Orion soft — российский разработчик ИТ-продуктов, в основу которых заложена концепция программно-определяемого ЦОД.

В портфель решений входит флагманский продукт zVirt, платформа управления виртуализацией Cloudlink, система терминального доступа Termit, а также Nova Container Platform — платформа оркестрации контейнеризированных приложений на базе Kubernetes и ближайший в РФ аналог продукту Red Hat Openshift.

Наша команда активно расширяется и ищет AppSec-инженера.

Твои задачи:

• Осуществлять оценку безопасности и проверку на несанкционированный доступ к системе управления контейнерами (ручные и автоматические методы тестирования);

• Исследовать код, библиотеки и компоненты с открытым исходным кодом на наличие уязвимостей посредством статического анализа, оценки компонентов и динамического тестирования безопасности;

• Оценивать векторы атак на приложения в контейнерах, программные интерфейсы и инфраструктурные элементы.

Опционально:

• Интегрировать DevSecOps-методологии в процессы разработки программного обеспечения;

• Проводить внутреннее обучение сотрудников принципам создания безопасного программного обеспечения.

Наши ожидания:

• Опыт работы в сфере защиты программных решений от трех лет;

• Владение принципами безопасности по классификациям OWASP Top 10, CWE, CVSS, а также методологиями разработки защищенного кода;

• Умение анализировать безопасность веб-систем и программных интерфейсов с использованием инструментов Burp Suite, ZAP и Postman;

• Применение автоматизированных средств для выявления уязвимостей в исходном коде и компонентах (Checkmarx, SonarQube, Snyk, Trivy);

• Навыки устранения проблем безопасности в библиотеках с открытым исходным кодом;

• Компетенции в обеспечении безопасности Kubernetes-окружений и контейнеризации (включая работу с NeuVector, Falco, политиками безопасности Pod);

• Понимание протоколов и механизмов защиты: TLS/SSL, инфраструктуры открытых ключей, OAuth2 и JWT;

• Владение операционной системой Linux и методами анализа журналов безопасности.

Здорово, если ты:

• Умеешь работать с OpenShift/OKD/Rancher;

• Имеешь опыт устранения уязвимостей в Go и Python;

• Знаешь принципы разработки PoC и эксплойтов;

• Можешь подтвердить наличие сертификаций OSCP, GWAPT, CISSP, CKS, CEH.